CN111224886B - 一种网络流量的管控方法及系统 - Google Patents
一种网络流量的管控方法及系统 Download PDFInfo
- Publication number
- CN111224886B CN111224886B CN202010055718.6A CN202010055718A CN111224886B CN 111224886 B CN111224886 B CN 111224886B CN 202010055718 A CN202010055718 A CN 202010055718A CN 111224886 B CN111224886 B CN 111224886B
- Authority
- CN
- China
- Prior art keywords
- gateway
- data packet
- flow control
- associated gateway
- credit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于互联网技术领域,提供了一种网络流量的管控方法及系统,包括:若接收到目标接口发送的数据包,则识别所述目标接口的接口类型以及所述数据包的目的地址;根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关;通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果;若所述流量管控结果为流量正常,则通过所述关联网关将所述数据包转发给所述目标地址对应的通信对象。本发明能够通过该关联网关对应的流量管控算法实现对接收到的数据包进行网络流量的限流操作,使得服务响应系统能够适用于多类型用户以及多应用场景的环境,提高了限流操作的准确性以及流量管控的适用范围。
Description
技术领域
本发明属于互联网技术领域,尤其涉及一种网络流量的管控方法及系统。
背景技术
随着网络技术的不断发展,越来越多的服务可以通过云端服务器进行响应,而当大量用户想云端服务器发起服务请求时,为了保证服务质量以及响应效果,可以对接收到的数据进行访问控制,即限流操作。现有的网络流量的管控技术,主要是在服务响应系统与用户终端之间配置有一网关设备,通过该网关设备对各个用户发起的服务请求进行限流操作,然而随着应用环境的复杂化,服务响应系统内的用户类型越来越多,当系统内存在内部用户以及外部用户的场景下,无法较好地进行流量限制,降低了服务器限流操作的准确性。
发明内容
有鉴于此,本发明实施例提供了一种网络流量的管控方法及设备,以解决现有的网络流量的管控技术,主要是在服务响应系统与用户终端之间配置有一网关设备,通过该网关设备对各个用户发起的服务请求进行限流操作,然而随着应用环境的复杂化,服务响应系统内的用户类型越来越多,无法较好地进行流量限制,降低了服务器限流操作的准确性的问题。
本发明实施例的第一方面提供了一种网络流量的管控方法,包括:
若接收到目标接口发送的数据包,则识别所述目标接口的接口类型以及所述数据包的目的地址;
根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关;
通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果;
若所述流量管控结果为流量正常,则通过所述关联网关将所述数据包转发给所述目标地址对应的通信对象。
本发明实施例的第二方面提供了一种网络流量的管控系统,包括:
发送对端信息识别单元,用于若接收到目标接口发送的数据包,则识别所述目标接口的接口类型以及所述数据包的目的地址;
关联网关确定单元,用于根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关;
流量管控结果输出单元,用于通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果;
请求响应单元,用于若所述流量管控结果为流量正常,则通过所述关联网关将所述数据包转发给所述目标地址对应的通信对象
本发明实施例的第三方面提供了一种网络流量的管控系统,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方面的各个步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现第一方面的各个步骤。
实施本发明实施例提供的一种网络流量的管控方法及系统具有以下有益效果:
本发明实施例通过在接收到发送给服务响应系统的数据包时,确定发送对端所使用的接口的接口类型以及该数据包的目的地址,从多个网关中选取与通讯对端匹配的关联网关,并通过关联网关对该通信对端进行流量管控。关联网关会获取当前的网络运行参量,并通过与关联网关匹配的流量管控算法输出当前对应的流量管控结果,流量正常的情况下响应该通讯对象的通信请求,将数据包转发给目标地址对应的通信对象,实现了流量管控的目的。与现有的流量管控技术相比,服务响应系统内可以根据接口类型以及目标地址的不同,配置对应的网关设备,在后续接收到通过接口发送的数据包时,基于该接口的接口类型以及数据包指示目的地址,确定预先配置的关联网关,并且通过该关联网关对应的流量管控算法实现对接收到的数据包进行网络流量的限流操作,使得服务响应系统能够适用于多类型用户以及多应用场景的环境,提高了限流操作的准确性以及流量管控的适用范围。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例提供的一种网络流量的管控方法的实现流程图;
图2是本发明第二实施例提供的一种网络流量的管控方法具体实现流程图;
图3是本发明第三实施例提供的一种网络流量的管控方法S203具体实现流程图;
图4是本发明第四实施例提供的一种网络流量的管控方法S102以及S103具体实现流程图;
图5是本发明第五实施例提供的一种网络流量的管控方法S102以及S103具体实现流程图;
图6是本发明第六实施例提供的一种网络流量的管控方法S102以及S103具体实现流程图;
图7是本发明第七实施例提供的一种网络流量的管控方法具体实现流程图;
图8是本发明一实施例提供的一种网络流量的管控系统的结构框图;
图9是本发明另一实施例提供的一种网络流量的管控系统的结构框图;
图10是本发明再一实施例提供的一种网络流量的管控系统的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例通过在接收到发送给服务响应系统的数据包时,确定发送对端所使用的接口的接口类型以及该数据包的目的地址,从多个网关中选取与通讯对端匹配的关联网关,并通过关联网关对该通信对端进行流量管控。关联网关会获取当前的网络运行参量,并通过与关联网关匹配的流量管控算法输出当前对应的流量管控结果,流量正常的情况下响应该通讯对象的通信请求,将数据包转发给目标地址对应的通信对象,实现了流量管控的目的,解决了现有的网络流量的管控技术,主要是在服务响应系统与用户终端之间配置有一网关设备,通过该网关设备对各个用户发起的服务请求进行限流操作,然而随着应用环境的复杂化,服务响应系统内的用户类型越来越多,无法较好地进行流量限制,降低了服务器限流操作的准确性的问题。
在本发明实施例中,流程的执行主体为网络流量的管控系统。该网络流量的管控包括至少两个网关设备,网关设备可以用于分离不同的网络,对不同网络的网络流量进行管控。图1示出了本发明第一实施例提供的网络流量的管控方法的实现流程图,详述如下:
在S101中,若接收到目标接口发送的数据包,则识别所述目标接口的接口类型以及所述数据包的目的地址。
在本实施例中,网络流量的管控系统可以用于响应不同用户终端发送的数据转发请求,例如,外部设备需要将数据包转发给内部终端,又或者内部终端之间需要进行数据包的互发,则用户终端会将数据包发送给网络流量的管控系统内的任一网关设备,此时,网络流量的管控系统则会对该数据包进行解析,以确定该通信对端的关联网关,并通过关联网关对数据包进行流量管控。需要说明的是,该网络流量的管控系统可以部署于服务器与用户终端的通信链路之间,用户终端需要向服务器发送服务请求时,在该情况下数据包即为携带有服务请求的信息,数据包会发送到网络流量的管控系统,通过网络流量的管控系统对所有用户终端的服务请求进行限流,并根据网络状况发送给服务器,以通过服务器对服务请求进行处理。当然,若响应服务请求的设备为一服务系统,即存在多个服务器以及内部终端,该网络流量的管理系统内包含的多个网关,可以用于隔离不同的服务器和/或内部终端与外网之间的通信,实现对内部系统的保护,提高内部系统的安全性。
在本实施例中,用户终端在向网络流量的管控系统发送数据包时,需要调用本地接口,通过本地接口与网络流量的管控系统建立通信链路,继而实现数据互通。基于此,数据包携带有通信对象所使用的本地接口的接口信息,网络流量的管控系统在接收到数据包后,可以对数据包进行解析,提取上述的接口信息,从而确定通信对端的本地接口,并识别为目标接口。管控系统可以根据不同的管控模式,对目标接口进行分类。例如,管控系统可以根据目标接口所在的网络,确定目标接口的接口类型;在该情况下,若目标接口所在网络为外部网络,则可以识别该目标接口的接口类型为外部接口类型;若目标接口所在网络为内部网络,则可以识别该目标接口的接口类型为内部接口类型。可选地,可以基于接口发送的数据类型进行分类;在该情况下,若目标接口发送的数据类型为文字数据,则该接口类型为字符接口类型;若目标接口发送的数据类型为视频数据,则该接口类型为流媒体接口类型。
需要说明的是,由于同一用户终端向服务器发送不同类型的数据时,使用的接口不同,为了能够实现对数据流量的精准管控,在识别关联网关时,识别的对象为发送数据包所对应的目标接口,而并非通信对端,能够对接口的数据量进行准确监控,以控制某一数据类型的发送总量,提高了流量管控的准确性。
在本实施例中,数据包还包含通信对象的目标地址。管控系统可以基于目标地址,确定该数据包发送的通信对象所在的网络,即属于向内部终端发送的数据包或是外部设备发送的数据包。
在S102中,根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关。
在本实施例中,服务响应系统在确定了数据包对应的接口类型以及目的地址后,可以确定数据包的发送对象以及目标对象,从而确定数据包的传输路径,基于传输路径所经过的网络,识别目标接口的关联网关。其中,不同的数据传输路径可以对应不同的网关设备,并基于数据传输路径与网关设备之间的对应关系,生成网关索引表。服务响应系统可以根据网关索引表查询得到数据包对应的传输路径对应的网关设备,并将查询得到的网关设备识别目标网关。
优选地,该服务响应系统可以包括两个或以上的网关设备,例如包括有内部网关以及外部网关,当数据包的传输路径只在内部网络传输,则可以通过内部网关对该数据包进行流量控制,从而识别目标接口的关联网关为内部网关;反之,若该数据包的传输路径上包含有内部网络以及外部网络,则不仅需要对数据包进行外部网络流量控制,还需要对数据包进行内部网络流量控制,即目标接口的关联网关为外部网关以及内部网关,若不同的服务响应系统所在的内部网络不同,若数据包在传输的过程中需要经过多个服务响应系统,则目标接口的关联网关可以为多个不同内部网络的内部网关。由此可见,目标接口的关联网关的数量可以为多个。
在S103中,通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果。
在本实施例中,管控系统在确定目标接口的关联网关后,可以通过关联网关获取其所在网络当前的网络运行参量,该网络运行参量包括但不限于:当前网络的吞吐量、上行速率、上行速率上限值、下行速率、下行速率上限值以及网络流量上限值等。该网络运行参量的参数个数可以为一个,也可以为多个,具体获取的参数个数可以根据流量管控算法确定。
在本实施例中,不同的关联网关预配置的流量管控算法不同,管控系统在确定了关联网关后,可以将网络运行参量导入到与关联网关对应的流量管控算法,输出对应的流量管控结果。可选地,若关联网关的个数为多个,则可以将不同关联网关所在的网络运行参数导入到对应的流量管控算法,得到多个流量管控结果,并基于多个关联网关的流量管控结果,输出关于数据包的流量管控结果。该流量管控结果可以为流量正常、流量过大、流量异常等。
在S104中,若所述流量管控结果为流量正常,则通过所述关联网关将所述数据包转发给所述目标地址对应的通信对象。
在本实施例中,若管控系统识别得到的数据包对应的流量管控结果为流量正常,即关联网关的流量处于正常状态,可以接收数据包,因此,关联网关可以根据目标地址进行网络寻址,得到数据包的转发路由,基于上述转发路由将数据包发送给目标地址对应的通信对象。
需要说明的是,该网络流量的管控系统内可以包含有至少两个网关设备,在管控系统内的任一网关设备接收到用户终端或服务器发送的数据包后,均可以执行S101至S104的操作,以对接收到的数据包进行转发。即该管控系统的执行主体可以为分布于各个网络上的网关设备,由于数据包可能需要在多个不同网络进行流转,即接收到数据包的网关设备并非为数据包唯一的关联网关,因此仍然需要根据数据包的接口类型以及目的地址,重新进行关联网关的判定操作。
以上可以看出,本发明实施例提供的一种网络流量的管控方法通过在接收到发送给服务响应系统的数据包时,确定发送对端所使用的接口的接口类型以及该数据包的目的地址,从多个网关中选取与通讯对端匹配的关联网关,并通过关联网关对该通信对端进行流量管控。关联网关会获取当前的网络运行参量,并通过与关联网关匹配的流量管控算法输出当前对应的流量管控结果,流量正常的情况下响应该通讯对象的通信请求,将数据包转发给目标地址对应的通信对象,实现了流量管控的目的。与现有的流量管控技术相比,服务响应系统内可以根据接口类型以及目标地址的不同,配置对应的网关设备,在后续接收到通过接口发送的数据包时,基于该接口的接口类型以及数据包指示目的地址,确定预先配置的关联网关,并且通过该关联网关对应的流量管控算法实现对接收到的数据包进行网络流量的限流操作,使得服务响应系统能够适用于多类型用户以及多应用场景的环境,提高了限流操作的准确性以及流量管控的适用范围。
图2示出了本发明第二实施例提供的一种网络流量的管控方法的具体实现流程图。参见图2,相对于图1所述实施例,本实施例提供的一种网络流量的管控方法中在所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果之前,还包括:S201~S204,具体详述如下:
进一步地,在所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果之前,还包括:
在S201中,获取所述数据包的所属设备的设备标识。
在本实施例中,数据包中除了携带有通信对象的目标地址外,还可以包含有发送数据包的用户终端,即上述的所属设备的设备标识。该设备标识可以为用户终端的物理地址、网络地址或设备编号等可以用于唯一标识该设备的信息。管控系统为了配置与用户终端相匹配的流量管控算法,需要获取用户终端的终端信息,并基于终端信息对流量管控算法内的阈值进行调整,因而需要从数据包中提取设备标识,并基于设备标识获取终端信息。
在S202中,基于所述设备标识从设备数据库内提取所述所属设备的设备信息以及历史响应记录。
在本实施例中,管控系统可以配置有设备数据库,该设备数据库用于存储各个用户终端发起的数据转发请求以及该用户终端对应的设备信息。管控系统在提取了数据包的设备标识后,可以从设备数据库中提取该设备标识关联的所有历史响应记录,该历史响应记录具体为由网络流量的管控系统接收过的关于该设备标识的用户终端发送过的数据包的转发记录。该历史响应记录包括发送端的设备标识、通信对象的设备标识、数据包的数据类型、数据量以及响应时间等与响应过程相关的信息。管控系统还可以根据设备标识确定发送设备的设备型号,并基于设备型号获取与之对应的设备信息,还设备信息还可以包括有权限列表,即根据该用户终端的注册信息以及历史响应情况等,管控系统可以为不同的用户终端配置不同的权限等级,权限等级越高,则可调用的服务请求的类型数量越多;反之,若权限等级越低,则可调用的服务请求的类型数量越小。
可选地,管控系统还可以设置有黑名单列表,若检测该设备标识在黑名单列表内,则识别上述接收到的数据包为异常数据包,丢弃上述数据包,不予以响应。当然,管控系统还可以设置有白名单列表,若检测到该设备标识在白名单列表内,则直接转发上述接收到的数据包,无需进行流量管控。
在S203中,根据所述设备信息以及所述历史响应记录,确定所述所属设备的信用等级。
在本实施例中,管控系统可以配置有信用等级转换算法,在获取了发送数据包的用户终端的设备信息以及历史响应记录后,可以将上述两类型的信息导入到信用等级转换算法内,计算数据包的所属设备,即用户终端的信用等级。
在S204中,基于所述信用等级,配置流量管控模板内的管控阈值,得到所述关联网关的流量管控算法。
在本实施例中,管控系统配置有信用等级与管控阈值的对应关系表,在确定了所属设备的信用等级后,可以查询该对应关系表,确定所属设备对应的管控阈值,并将与所属设备匹配的管控阈值导入到流量管控模板内,生成流量管控算法。需要说明的是,信用等级越高,则对应的管控阈值的数值越高,数据发送的权限越高;反之,信用等级越低,则对应的管控阈值的数值越低,数据发送的权限越低。
在本发明实施例中,通过获取数据包的所属设备的设备信息以及历史响应记录,计算得到所属设备的信用等级,基于信用等级动态调整流量管控算法,从而提高了流量管控的准确性。
图3示出了本发明第三实施例提供的一种网络流量的管控方法S203的具体实现流程图。参见图3,相对于图2所述的实施例,本实施例提供的一种网络流量的管控方法S203包括:S2031~S2033,具体详述如下:
进一步地,所述根据所述设备信息以及所述历史响应记录,确定所述所属设备的信用等级,包括:
在S2031中,从所述设备信息中提取所述所属设备的权限列表,并基于所述权限列表内的操作权限,确定所述所属设备的基准信用等级。
在本实施例中,设备信息包含发送数据包的所属设备的权限列表,该权限列表包含有所属设备可以执行的所有操作权限。管控系统在获取了权限列表后,可以识别各个操作权限中权限最高的一个,作为该所属设备的特征权限值,并基于特征权限值确定所属设备的基准信用等级。具体地,若该特征权限值的数值越高,则对应的基准信用等级越高;反之,若该特征权限值的数值越小,则对应的基准信用等级越低。
在S2032中,识别各个所述历史响应记录内的历史数据包的历史数据量,并将所有历史数据量导入预设的信用因子转换模型,计算所述所属设备的信用因子;所述信用因子转换模型具体为:
其中,CreditFactor为所述信用因子,n为所述历史数据包的总数;Datasizei为第i个所述历史数据包的历史数据量;CreditDatasize为预设的基准数据量;ξDatasize为所有所述历史数据包的标准差。
在本实施例中,历史响应记录用于存储所属设备发送历史数据包的发送情况,因此,历史响应记录包括关于历史数据包的相关信息,例如历史数据包的历史数据量。管控系统分别识别各个历史响应记录对应的历史数据量,并将所有历史数据量导入到信用因子转换模型,计算得到所属设备的信用因子。若该所属设备的历史发送数据包的历史数据量越大,则对应的信用因子的数值越大,即表示该所属设备发送大数据量的数据包属于常规操作,因此管控系统可以通过历史数据量确定所属设备的平均数据量、最大数据量以及数据标准差,并基于上述三个参数计算出信用因子。
在S2033中,根据所述基准信用等级以及所述信用因子,计算所述信用等级。
在本实施例中,管控系统可以将基准信用等级与信用因子进行加权叠加,从而计算得的所属设备对应的信用等级。
在本发明实施例中,通过所属设备的权限列表,计算得到基准信用等级,并根据所属设备的历史响应记录,计算得到信用因子,从而根据基准信用等级以及信用因子计算得的信用等级,提高了信用等级的准确性。
图4示出了本发明第四实施例提供的一种网络流量的管控方法S102以及S103的具体实现流程图。参见图4,相对于图1所述实施例,本实施例提供的一种网络流量的管控方法S102包括:S401,S103包括S402以及S403,具体详述如下:
进一步地,所述根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关,包括:
在S401中,若所述接口类型为外部接口类型且所述目的地址为服务响应系统,则识别所述目标接口的关联网关为外部网关以及内部网关。
在本实施例中,若检测到发送数据包的目标接口的接口类型为外部接口类型,即发送设备是通过外部网络将数据包发送给管控系统,且目的地址为服务响应系统,则可以确定接收设备处于内部网络,即数据包的传输路由是由外部网络发送至外部网关,并交由外部网关转发给内部网关,再由内部网关转发给服务响应系统,需要经过两个网关设备,因此可以识别该目标接口对应的关联网关为外部网关以及内部网关,通过两个网关进行双限流。
所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果,包括:
在S402中,识别发送所述数据包的用户终端是否在预设的合法设备列表内。
在本实施例中,管控系统可以设置有合法设备列表,为了提高服务响应系统的安全性,转发给服务响应系统的数据包需要为合法设备列表内的用户终端发送才执行转发操作。若该用户终端不在合法设备列表内,则交由外部网关向用户终端反馈发送失败信息。
在S403中,若所述用户终端在所述合法设备列表内,则通过第一流量管控算法输出所述网络运行参量对应的第一管控结果。
在本实施例中,若检测到用户终端在合法设备列表内,则通过内部网关以及外部网关分别对应的流量管控算法,分别计算外部网络以及内部网络的网络运行参数,两个流量管控算法的级联则为上述的第一流量管控算法,从而分别输出关于内部网络的管控子结果以及外部网络的管控子结果,并通过两个管控子结果得到第一管控结果,通过互联网访问的接口,在外部网关进行限流配置后,内部网关仍然可以针对性接口级限流,实现了双重流量管控的目的。
在本发明实施例中,在确定数据包的关联网关为外部网关以及内部网关时,对发送数据包的用户终端进行合法性检测,并通过两个关联网关的第一流量管控算法对网络参量进行流量管控,输出第一管控结果,从而实现了双重流量管控的目的。
图5示出了本发明第五实施例提供的一种网络流量的管控方法S102以及S103的具体实现流程图。参见图5,相对于图1所述实施例,相对于图1所述实施例,本实施例提供的一种网络流量的管控方法S102包括:S501,S103包括S502,具体详述如下:
进一步地,所述根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关,包括:
在S501中,若所述接口类型为外部接口类型且所述目的地址为内部终端,则识别所述目标接口的关联网关为外部网关。
在本实施例中,若检测到发送数据包的目标接口的接口类型为外部接口类型,即发送设备是通过外部网络将数据包发送给管控系统,且目的地址为内部终端,则可以确定接收设备处于内部网络,即数据包的传输路由是由外部网络发送至外部网关,并交由外部网关转发内部终端,需要经过外部网关转发即可,因此可以识别该目标接口对应的关联网关为外部网关。
所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果,包括:
在S502中,通过所述外部网关对应的第二流量管控算法输出所述网络运行参量对应的第二管控结果。
在本实施例中,管控系统可以通过外部网关获取当前外部网络对应的网络运行参量,并将该网络运行参量导入到外部网关对应的第二流量管控算法,得到第二管控结果。
可选地,对于上述类型的数据包的发送操作,管理系统可以采用基于Nginx的OpenResty组件对Lua进行二次开发,对配置接口进行并发、定时定量、定点限流,生成第二流量管控算法,具体用于监控以下网络运行参量包括但不限于:每秒访问次数、每分钟访问次数以及同IP访问次数等。适用的应用场景可以为:调用方通过互联网访问内部系统接口,即处于内部网络的用户终端,在入口处使用OpenResty限流,即外部网关进行限流。
在本发明实施例中,对于外部设备对内部终端进行访问时,通过外部网关进行限流,能够有效保障内部终端的安全性以及内部网络的稳定性。
图6示出了本发明第六实施例提供的一种网络流量的管控方法的S102以及S103具体实现流程图。参见图6,相对于图1所述实施例,相对于图1所述实施例,本实施例提供的一种网络流量的管控方法S102包括:S601,S103包括S602,具体详述如下:
进一步地,所述根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关,包括:
在S601中,若所述接口类型为内部接口类型且所述目的地址为服务响应系统,则识别所述目标接口的关联网关为内部网关。
在本实施例中,若检测到发送数据包的目标接口的接口类型为内部接口类型,即发送设备是通过内部网络将数据包发送给管控系,且目的地址为服务响应系统,则可以确定接收设备处于内部网络,即数据包的传输路由是由内部网络发送至内部网关,并交由内部网关转发服务响应系统,经过内部网关转发即可,因此可以识别该目标接口对应的关联网关为内部网关,属于内部终端之间的互访。
所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果,包括:
在S602中,通过所述内部网关对应的第三流量管控算法输出所述网络运行参量对应的第三管控结果。
在本实施例中,管控系统可以通过内部网关获取当前内部网络对应的网络运行参量,并将该网络运行参量导入到内部网关对应的第三流量管控算法,得到第三管控结果。
可选地,对于上述类型的数据包的发送操作,管理系统可以通过基于Sentinel组件进行二次开发,支持QPS和线程数两种模式限流,提供自定义默认值,配置可以热刷新,无需重启服务。该第三流量管控算法具体用于监控以下网络运行参量包括但不限于:调用方限流,对于指定调用方,访问网关所有接口进行整体限流;接口限流,对于指定接口,对所有调用方进行限流;提供方限流,对于指定提供方系统,所有接口整体限流,如访问A系统所有接口并发数不超过200;调用方、接口、提供方,三个维度任意组合限流,需要配置调用方、访问资源、提供方,进行组合限流;未配置限流的访问,进入默认限流(预留资源),保证所有网关所有访问流量可控。适用的应用场景可以为:调用方通过互联网访问内部系统接口,即处于内部网络的用户终端,在入口处使用OpenResty限流。适用的应用场景可以为:调用方调用所有系统的所有接口总量限流;某接口对于所有调用方总量限流;某提供方所有接口针对所有调用总量限流;某调用方调用某系统的某接口限流;未纳入限流的访问,进入公共限流。
在本发明实施例中,对于内部终端之间的相互访问时,通过内部网关进行限流,能够有效保障内部终端的安全性以及内部网络的稳定性。
图7示出了本发明第七实施例提供的一种网络流量的管控方法的具体实现流程图。参见图7,相对于图1至图6任一所述实施例,本实施例提供的一种网络流量的管控方法在所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果之后,还包括:S701~S702,具体详述如下:
在S701中,若所述流量管控结果为流量异常,则将所述数据包识别为待发送数据,并将所有所述待发送数据添加到待发送列表。
在本实施例中,管控系统在输出了数据包的流量管控结果后,并确定该流量管控结果为流量异常,即识别当前网络的数据流量较大,需要延后对该数据包进行发送,因此,将数据包识别为待发送数据,并添加到待发送列表内,该待发送列表内的各个待发送数据的发送次序,根据待发送数据的发送时间的先后次序确定。
在S702中,若检测到当前网络的数据流量小于预设的异常阈值,则基于所述待发送列表内各个待发送数据的发送次序,依次发送各个所述待发送数据。
在本实施例中,服务响应系统若检测到当前网络的数据流量小于预设的异常阈值,则可以对待发送列表内的待发送数据根据发送次序依次发送,从而确保了网络的流量不会过载,保证了网络的稳定性。
在本发明实施例中,在确定了当前网络的数据流量过大的情况下,延后发送数据包,从而能够保证了数据网络的稳定性。
图8示出了本发明一实施例提供的一种网络流量的管控系统的结构示意图。参见图8,该网络流量的管控系统包括外部网关81、内部网关82、外部接口83、内部终端84以及服务响应系统85。其中,外部网关81用于隔离外部接口83与内部终端84以及服务响应系统85,属于外部网络的隔离区;而内部网关82则用于隔离内部终端84以及服务响应系统85,从而保证了服务响应系统85的安全性。外部网关81与内部网关82之间通过转线连接,在接收到外部接口83向内部终端84发送数据包时,外部网关81可以直接通过转线向内部终端所在网络进行转发,无需通过内部网关82进行流量管控。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
图9示出了本发明另一实施例提供的一种网络流量的管控系统的结构框图,该网络流量的管控系统包括的各单元用于执行图1对应的实施例中的各步骤。具体请参阅图1与图1所对应的实施例中的相关描述。为了便于说明,仅示出了与本实施例相关的部分。
参见图9,所述网络流量的管控系统包括:
发送对端信息识别单元91,用于若接收到目标接口发送的数据包,则识别所述目标接口的接口类型以及所述数据包的目的地址;
关联网关确定单元92,用于根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关;
流量管控结果输出单元93,用于通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果;
请求响应单元94,用于若所述流量管控结果为流量正常,则通过所述关联网关将所述数据包转发给所述目标地址对应的通信对象。
可选地,所述网络流量的管控系统还包括:
设备标识获取单元,用于获取所述数据包的所属设备的设备标识;
设备参数获取单元,用于基于所述设备标识从设备数据库内提取所述所属设备的设备信息以及历史响应记录;
信用等级计算单元,用于根据所述设备信息以及所述历史响应记录,确定所述所属设备的信用等级;
流量管控算法生成单元,用于基于所述信用等级,配置流量管控模板内的管控阈值,得到所述关联网关的流量管控算法。
可选地,所述信用等级计算单元包括:
基准信用等级计算单元,用于从所述设备信息中提取所述所属设备的权限列表,并基于所述权限列表内的操作权限,确定所述所属设备的基准信用等级;
信用因子转换单元,用于识别各个所述历史响应记录内的历史数据包的历史数据量,并将所有历史数据量导入预设的信用因子转换模型,计算所述所属设备的信用因子;所述信用因子转换模型具体为:
其中,CreditFactor为所述信用因子,n为所述历史数据包的总数;Datasizei为第i个所述历史数据包的历史数据量;CreditDatasize为预设的基准数据量;ξDatasize为所有所述历史数据包的标准差;
信用等级转换单元,用于根据所述基准信用等级以及所述信用因子,计算所述信用等级。
可选地,所述关联网关确定单元92包括:
服务响应识别单元,用于若所述接口类型为外部接口类型且所述目的地址为服务响应系统,则识别所述目标接口的关联网关为外部网关以及内部网关;
所述流量管控结果输出单元93,包括:
设备合法识别单元,用于识别发送所述数据包的用户终端是否在预设的合法设备列表内;
第一管控结果输出单元,用于若所述用户终端在所述合法设备列表内,则通过第一流量管控算法输出所述网络运行参量对应的第一管控结果。
可选地,所述关联网关确定单元92包括:
外部访问识别单元,用于若所述接口类型为外部接口类型且所述目的地址为内部终端,则识别所述目标接口的关联网关为外部网关;
所述流量管控结果输出单元93,包括:
第二管控结果输出单元,用于通过所述外部网关对应的第二流量管控算法输出所述网络运行参量对应的第二管控结果。
可选地,所述关联网关确定单元92包括:
内部访问识别单元,用于若所述接口类型为内部接口类型且所述目的地址为服务响应系统,则识别所述目标接口的关联网关为内部网关;
所述流量管控结果输出单元93,包括:
第三管控结果输出单元,用于通过所述内部网关对应的第三流量管控算法输出所述网络运行参量对应的第三管控结果。
可选地,所述网络流量的管控系统还包括:
流量异常识别单元,用于若所述流量管控结果为流量异常,则将所述数据包识别为待发送数据,并将所有所述待发送数据添加到待发送列表;
延迟发送触发单元,用于若检测到当前网络的数据流量小于预设的异常阈值,则基于所述待发送列表内各个待发送数据的发送次序,依次发送各个所述待发送数据。
因此,本发明实施例提供的网络流量的管控系统中,服务响应系统内可以设置有两个或以上的网关设备,用于应对不同的通信对象以及任务响应场景,在对数据包进行解析后,确定该数据包对应的关联网关,并且通过不同的流量管控算法实现对网络流量进行限流,适用于多类型用户以及多应用场景的环境,提高了限流操作的准确性以及流量管控的适用范围。
图10是本发明再一实施例提供的一种终端设备的示意图。如图10所示,该实施例的终端设备10包括:处理器100、存储器101以及存储在所述存储器101中并可在所述处理器100上运行的计算机程序102,例如网络流量的管控程序。所述处理器100执行所述计算机程序102时实现上述各个网络流量的管控方法实施例中的步骤,例如图1所示的S101至S104。或者,所述处理器100执行所述计算机程序102时实现上述各装置实施例中各单元的功能,例如图8所示模块91至94功能。
示例性的,所述计算机程序102可以被分割成一个或多个单元,所述一个或者多个单元被存储在所述存储器101中,并由所述处理器100执行,以完成本发明。所述一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序102在所述终端设备10中的执行过程。例如,所述计算机程序102可以被分割成发送对端信息识别单元、关联网关确定单元、流量管控结果输出单元以及请求响应单元,各单元具体功能如上所述。
所述终端设备10可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器100、存储器101。本领域技术人员可以理解,图10仅仅是终端设备10的示例,并不构成对终端设备10的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器100可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器101可以是所述终端设备10的内部存储单元,例如终端设备10的硬盘或内存。所述存储器101也可以是所述终端设备10的外部存储设备,例如所述终端设备10上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器101还可以既包括所述终端设备10的内部存储单元也包括外部存储设备。所述存储器101用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器101还可以用于暂时地存储已经输出或者将要输出的数据。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (8)
1.一种网络流量的管控方法,其特征在于,包括:
若接收到目标接口发送的数据包,则识别所述目标接口的接口类型以及所述数据包的目的地址;
根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关;
通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果;
若所述流量管控结果为流量正常,则通过所述关联网关将所述数据包转发给所述目标地址对应的通信对象;
在所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果之前,还包括:
获取所述数据包的所属设备的设备标识;
基于所述设备标识从设备数据库内提取所述所属设备的设备信息以及历史响应记录;
根据所述设备信息以及所述历史响应记录,确定所述所属设备的信用等级;
基于所述信用等级,配置流量管控模板内的管控阈值,得到所述关联网关的流量管控算法;
所述根据所述设备信息以及所述历史响应记录,确定所述所属设备的信用等级,包括:
从所述设备信息中提取所述所属设备的权限列表,并基于所述权限列表内的操作权限,确定所述所属设备的基准信用等级;
识别各个所述历史响应记录内的历史数据包的历史数据量,并将所有历史数据量导入预设的信用因子转换模型,计算所述所属设备的信用因子;所述信用因子转换模型具体为:
其中,CreditFactor为所述信用因子,n为所述历史数据包的总数;Datasizei为第i个所述历史数据包的历史数据量;CreditDatasize为预设的基准数据量;ξDatasize为所有所述历史数据包的标准差;
根据所述基准信用等级以及所述信用因子,计算所述信用等级。
2.根据权利要求1所述的管控方法,其特征在于,所述根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关,包括:
若所述接口类型为外部接口类型且所述目的地址为服务响应系统,则识别所述目标接口的关联网关为外部网关以及内部网关;
所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果,包括:
识别发送所述数据包的用户终端是否在预设的合法设备列表内;
若所述用户终端在所述合法设备列表内,则通过第一流量管控算法输出所述网络运行参量对应的第一管控结果。
3.根据权利要求1所述的管控方法,其特征在于,所述根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关,包括:
若所述接口类型为外部接口类型且所述目的地址为内部终端,则识别所述目标接口的关联网关为外部网关;
所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果,包括:
通过所述外部网关对应的第二流量管控算法输出所述网络运行参量对应的第二管控结果。
4.根据权利要求1所述的管控方法,其特征在于,所述根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关,包括:
若所述接口类型为内部接口类型且所述目的地址为服务响应系统,则识别所述目标接口的关联网关为内部网关;
所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果,包括:
通过所述内部网关对应的第三流量管控算法输出所述网络运行参量对应的第三管控结果。
5.根据权利要求1-4任一项所述的管控方法,其特征在于,在所述通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果之后,还包括:
若所述流量管控结果为流量异常,则将所述数据包识别为待发送数据,并将所有所述待发送数据添加到待发送列表;
若检测到当前网络的数据流量小于预设的异常阈值,则基于所述待发送列表内各个待发送数据的发送次序,依次发送各个所述待发送数据。
6.一种网络流量的管控系统,其特征在于,包括:
发送对端信息识别单元,用于若接收到目标接口发送的数据包,则识别所述目标接口的接口类型以及所述数据包的目的地址;
关联网关确定单元,用于根据所述接口类型以及所述目的地址,确定所述目标接口的关联网关;
流量管控结果输出单元,用于通过所述关联网关获取当前的网络运行参量,并将所述网络运行参量导入到所述关联网关预设的流量管控算法,输出流量管控结果;
请求响应单元,用于若所述流量管控结果为流量正常,则通过所述关联网关将所述数据包转发给所述目标地址对应的通信对象;
所述网络流量的管控系统还包括:
设备标识获取单元,用于获取所述数据包的所属设备的设备标识;
设备参数获取单元,用于基于所述设备标识从设备数据库内提取所述所属设备的设备信息以及历史响应记录;
信用等级计算单元,用于根据所述设备信息以及所述历史响应记录,确定所述所属设备的信用等级;
流量管控算法生成单元,用于基于所述信用等级,配置流量管控模板内的管控阈值,得到所述关联网关的流量管控算法;
所述信用等级计算单元包括:
基准信用等级计算单元,用于从所述设备信息中提取所述所属设备的权限列表,并基于所述权限列表内的操作权限,确定所述所属设备的基准信用等级;
信用因子转换单元,用于识别各个所述历史响应记录内的历史数据包的历史数据量,并将所有历史数据量导入预设的信用因子转换模型,计算所述所属设备的信用因子;所述信用因子转换模型具体为:
其中,CreditFactor为所述信用因子,n为所述历史数据包的总数;Datasizei为第i个所述历史数据包的历史数据量;CreditDatasize为预设的基准数据量;ξDatasize为所有所述历史数据包的标准差;
信用等级转换单元,用于根据所述基准信用等级以及所述信用因子,计算所述信用等级。
7.一种网络流量的管控系统,其特征在于,所述网络流量的管控系统包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时如权利要求1至5任一项所述方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010055718.6A CN111224886B (zh) | 2020-01-17 | 2020-01-17 | 一种网络流量的管控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010055718.6A CN111224886B (zh) | 2020-01-17 | 2020-01-17 | 一种网络流量的管控方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111224886A CN111224886A (zh) | 2020-06-02 |
CN111224886B true CN111224886B (zh) | 2023-10-20 |
Family
ID=70829589
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010055718.6A Active CN111224886B (zh) | 2020-01-17 | 2020-01-17 | 一种网络流量的管控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111224886B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114049225B (zh) * | 2021-10-13 | 2023-02-21 | 北京博瑞彤芸科技股份有限公司 | 一种智能推荐保险产品的方法、系统和电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7102996B1 (en) * | 2001-05-24 | 2006-09-05 | F5 Networks, Inc. | Method and system for scaling network traffic managers |
US9374454B1 (en) * | 2013-12-13 | 2016-06-21 | West Corporation | Reduction in network congestion |
CN106559349A (zh) * | 2015-09-24 | 2017-04-05 | 阿里巴巴集团控股有限公司 | 业务传输速率的控制方法及装置、系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107222426B (zh) * | 2016-03-21 | 2021-07-20 | 阿里巴巴集团控股有限公司 | 控流的方法、装置及系统 |
-
2020
- 2020-01-17 CN CN202010055718.6A patent/CN111224886B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7102996B1 (en) * | 2001-05-24 | 2006-09-05 | F5 Networks, Inc. | Method and system for scaling network traffic managers |
US9374454B1 (en) * | 2013-12-13 | 2016-06-21 | West Corporation | Reduction in network congestion |
CN106559349A (zh) * | 2015-09-24 | 2017-04-05 | 阿里巴巴集团控股有限公司 | 业务传输速率的控制方法及装置、系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111224886A (zh) | 2020-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220239508A1 (en) | Blockchain message processing method and apparatus, computer, and readable storage medium | |
US10291539B2 (en) | Methods, systems, and computer readable media for discarding messages during a congestion event | |
US8850043B2 (en) | Network security using trust validation | |
US11843532B2 (en) | Application peering | |
US10193890B2 (en) | Communication apparatus to manage whitelist information | |
US20230171285A1 (en) | Edge network-based account protection service | |
CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
US11546300B2 (en) | Firewall system with application identifier based rules | |
CN112437006B (zh) | 基于api网关的请求控制方法、装置、电子设备和存储介质 | |
US10320688B2 (en) | Aggregating flows by endpoint category | |
US20220329609A1 (en) | Network Security Protection Method and Protection Device | |
US10078746B2 (en) | Detecting unauthorized devices | |
WO2019047345A1 (zh) | 动态密码发送策略的生成方法和动态密码发送方法 | |
CN111224886B (zh) | 一种网络流量的管控方法及系统 | |
CN110913011A (zh) | 会话保持方法、会话保持装置、可读存储介质及电子设备 | |
CN115296866B (zh) | 一种边缘节点的访问方法及装置 | |
US8683063B1 (en) | Regulating internet traffic that is communicated through anonymizing gateways | |
WO2020238971A1 (zh) | 文件共享方法、装置、系统、服务器、终端及存储介质 | |
CN111131397B (zh) | 应用管理方法及系统、网关平台、服务端、存储介质 | |
WO2019144522A1 (zh) | 身份信息的认证方法、装置、终端设备及介质 | |
CN117544392A (zh) | 云安全访问方法、装置及应用 | |
KR102055912B1 (ko) | 공유기 환경에서 공유 단말을 관리하는 장치 및 방법 | |
CN112486649A (zh) | 一种顾及空间约束的gis服务网关平台 | |
CN117978809A (zh) | 网关节点推荐方法、装置、计算机设备和存储介质 | |
CN113489726A (zh) | 流量限制方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |